DNS
Introducción
Como parte de nuestro compromiso de combatir proactivamente el abuso contra los nombres de dominio, y hacer de él uno de los espacios de nombres más seguros y confiables de Internet, el ccTLD “.CO” cuenta con capacidad “DNSSEC” desde el 2011.
DNSSEC es un conjunto de especificaciones técnicas para asegurar ciertos tipos de información provista por el DNS, y que permiten proteger a los usuarios de Internet contra ataques maliciosos y/o malintencionados tales como suplantación de identidad, integridad de datos, y riesgos inherentes a que los usuarios sean redirigidos a sitios Web indeseados o inseguros. Las extensiones DNSSEC proveen tres (3) funcionalidades básicas:
- Autenticación de Origen de Datos – asegura que los datos son recibidos del servidor DNS autorizado; puede proteger de ataques de suplantación de identidad.
- Integridad de Datos – asegura que los datos recibidos coinciden con los del servidor DNS de origen y no son modificados durante el tránsito; protege de ataques de polución tipo “hombre-en-el-medio”.
- Denegación de Existencia Autenticada – asegura que una respuesta como “No existente” sea válida.
Los siguientes documentos RFC definen el marco técnico de referencia asociado a las extensiones DNSSEC:
- RFC 4033: Seguridad DNS – Introducción y Requerimientos
- RFC 4034: Registros de Recursos para las Extensiones de Seguridad DNS
- RFC 4035: Modificaciones de Protocolo para las Extensiones de Seguridad DNS
- RFC 4641: Prácticas Operacionales DNSSEC
- RFC 5155: Introduce un registro de recurso alternativo, NSEC3, que provee medidas adicionales contra enumeración de zona y permite expansión gradual de zonas de delegación céntrica
- RFC 5910: Mapeo de Extensiones de Seguridad DNS para el Protocolo Extensible de Aprovisionamiento.
Existen diversos sitios Web y tutoriales para conocer en detalle la importancia de las extensiones DNSSEC. Hemos consolidado en esta sección algunos detalles técnicos básicos así como tutoriales y enlaces a contenido más profundo.
Presentaciones y Libros Blancos
Una Introducción a DNSSEC (PDF) – Marzo 2012
¿Por qué DNSSEC es importante? DNSSEC puede ayudar a mitigar los riesgos de envenenamiento de caché descritos en el siguiente video, provisto por cortesía de Cricket LIU, VP de INFOBLOX:
Ejemplo de un ataque común de envenenamiento de caché DNS? Fuente: INFOBLOX Inc. en VIMEO.
Los siguientes enlaces contienen documentación y recursos adicionales relativos a educación y capacitación en DNSSEC:
- INFOBLOX – Centro de Seguridad DNS
- Secure64 – Centro de Recursos DNSSEC
- Proyecto “Practice Safe DNS”
- NeuStar – Recursos DNSSEC
- DNSSEC.net
- DNSStuff.com
- Proyecto “Despliegue DNSSEC” de ISOC
- Seminario WEB de INFOBLOX – Envenenamiento de Caché y DNSSEC: Una mirada a las amenazas al DNS y cómo DNSSEC las maneja (se requiere registro en el sitio)
Descargo de responsabilidad: contenidos y enlaces (URL´s) de terceros o enlaces se suministran sólo para su conveniencia e información; no implica aprobación, patrocinio, o afiliación con .CO INTERNET S.A.S. Sitios web vinculados no están bajo nuestro control; .CO Internet S.A.S. no se hace responsable de su disponibilidad, contenido, publicidad, productos o materiales, incluidos nuevos vínculos en un sitio de terceros. Para obtener más información, consulte los Términos y Condiciones de .CO INTERNET S.A.S.